工控安全职业证书技能实践：工控网络防护设备安全规则配置及实战.docxVIP

PAGE 2 工控网络防护设备安全规则配置及实战 课程级别 信息安全专业工业互联网安全方向。 实验概述 此实验主要内容是掌握在Windows环境下搭建Snort入侵检测系统；掌握常见入侵检测规则的配；掌握入侵检测规则包的使用，了解如何修改规则配置；了解Snort入侵检测系统是如何对攻击行为进行检测的。 实验目标 掌握Windows环境下Snort入侵检测系统搭建 掌握常见入侵检测规则的配置 预备知识 入侵检测系统基本工作原理 Snort入侵检测规则的基础知识 Snort入侵检测系统的作用 建议课时数 4个课时 实验环境准备 实验时硬件环境：2核CPU、4G内存、256G硬盘 需要能够支持系统连接网络的网络环境 Windows sever 2003操作系统 实验步骤 任务一 Snort 环境搭建 1.下载Snort安装包，下载地址 /downloads#，本次实验选择2.9.17版本安装。 2. snort本地安装 按照安装想到完成安装即可，记录下安装目录，如本次安装在：C:\Snort，在下述配置中，相关路径请根据实际安装路径做相应修改。 3. 规则下载，在 /downloads上注册登录，选择下载下图所示的规则包。 4.将规则包加压并把相应规则复制粘贴到snort安装路径下的rules文件夹下，如下图所示。 5.修改配置文件，因snort配置文件默认是按照linux系统路径，需要修改为实际路径以使得能够在windows环境下使用。打开C:\Snort\etc\snort.conf，修改规则路径配置，如下图所示。 修改dynamicpreprocessor等路径配置如下图所示。 6.验证安装结果 在snort.exe所在路径运行命令snort -ev，出现下图所示结果则表示安装成功。 任务二 工控入侵检测规则配置 1.在C:\Snort\rules下新建一个规则文件umas.rules，写入以下检测规则并保存： #正在读S7 PLC内部变量读取 alert tcp any 102 - any any (msg:s7 protocol read var;sid:8999912;) #正在写S7 PLC内部的内存变量 alert tcp any any - any 102 (msg:s7 protocol write var;sid:8999920;) #设置S7 PLC内部时钟的时间 alert tcp any any - any 102 (msg:Request Time functions Set clock;content:|03 00|;offset:0;depth:2;content:|32 07 00|;offset:7;depth:3;content:|00 01 12 04 11 47 02 00|;offset:17;depth:8;sid:8999907;) #设置与S7 PLC会话的密码 alert tcp any any - any 102 (msg:Request Security functions Set PLC session password;content:|03 00|;offset:0;depth:2;content:|00 01 12 04 11 45 01 00|;offset:17;depth:8;sid:8999908;) #设置S7 PLC的CPU到STOP状态 alert tcp any any - any 102 (msg:Request CPU functions Set PLC CPU STOP;content:|29 00 00 00 00 00 09 50 5f 50 52 4f 47 52 41 4d|;sid:8999909;) #暖启动S7 PLC的CPU到RUN状态 alert tcp any any - any 102 (msg:Request CPU functions Set PLC CPU Hot Restart;content:|28 00 00 00 00 00 00 fd 00 00 09 50 5f 50 52 4f|;sid:8999910;) #冷启动S7 PLC的CPU到RUN状态 alert tcp any any - any 102 (msg:Request CPU functions Set PLC CPU Cold Restart;content:|28 00 00 00 00 00 00 fd 00 02 43 20 09 50 5f 50 52 4f 47 52 41 4d|;sid:8999911;) #正在请求下载程序块 alert tcp any any - any